某些 Google API(接受 敏感范围或 受限范围 的 API)对寻求访问消费者数据的权限的应用有要求。 这些 针对受限范围的额外要求 包括:应用必须证明自己属于允许的应用类型,并且必须 接受额外的审核,其中可能包括安全评估。
API 中受限范围的适用性主要取决于在应用中提供相关功能所需的访问权限级别:只读、只写、读写等。
当您使用 OAuth 2.0 从 Google 账号获取访问此数据的权限时,您可以使用称为“范围”的字符串来指定要访问的数据类型以及所需的访问权限级别。 如果您的应用请求 敏感 或 受限 范围,则需要完成验证流程,除非您的应用使用情况 符合 例外情况。
与敏感范围相比,受限范围的数量较少。 OAuth API 验证常见问题解答 中包含当前敏感范围和受限范围的列表。这些范围提供对 Google 用户数据的广泛访问权限,并且在您从任何 Google 账号请求这些范围之前,需要您完成范围验证流程。如需了解此要求的相关信息,请参阅 Google API 服务用户数据政策 和 针对特定 API 范围的其他要求 ,或相应产品的 Google 开发者页面 。如果您在服务器上存储或传输受限范围数据,则需要 完成安全评估。
了解受限范围
如果您的应用请求任何受限范围,但不符合 例外情况,则需要满足 Google API 服务用户数据政策的 针对特定 API 范围的其他要求 ,或相应产品的 Google 开发者页面上的产品特定要求,这 需要更广泛的审核流程。
了解您的范围使用情况
- 查看您的应用使用或想要使用的范围。如需查找您现有的范围使用情况, 请检查应用源代码中随授权请求发送的任何范围。
- 确定每个请求的范围对于应用功能的预期操作都是必要的 并且使用提供该功能所需的最小权限。 Google API 通常在相应产品的 Google 开发者页面上提供其端点的参考文档,其中包括调用端点或其中特定属性所需的范围。如需详细了解您的应用调用的 API 端点的必要访问范围,请阅读这些端点的参考文档。 For example, for an app that only uses Gmail APIs to occasionally send emails on a user's behalf, don't request the scope that provides full access to the user's email data.
- 您从 Google API 收到的数据必须仅按照 API 的政策使用,并且使用方式必须与您在应用操作和隐私权政策中向用户说明的方式一致。
- 请参阅 API 文档,详细了解每个范围,包括其潜在 状态。
- 在 Cloud Console 的 “数据访问权限”页面中声明应用使用的所有范围。 您指定的范围会分组到敏感或受限 类别中,以突出显示所需的任何额外验证。
- 找到与您的集成所使用的数据最匹配的最佳范围,了解其用途, 重新确认一切正常运行,然后准备提交以进行 验证。
请务必将完成验证所需的时间纳入应用或任何需要新范围的新功能的发布计划中。如果应用从服务器访问 Google 用户数据或能够通过服务器访问 Google 用户数据,则需要满足这些额外要求之一。在这些情况下,系统 必须每年接受由 Google 批准的 独立第三方评估员进行的安全评估。因此,受限范围验证流程可能需要几周时间才能完成。请注意,如果品牌信息 自上次批准的 OAuth 权限请求页面验证以来发生了变化,则所有应用都必须先完成 品牌验证 步骤,该步骤通常需要 2-3 个工作日。
允许的应用类型
某些应用类型可以访问每个产品的受限范围。您 可以在相应产品的 Google 开发者页面(例如 Gmail API 政策)上找到应用类型。
您有责任了解并确定应用类型。 不过,如果您确实不确定应用的应用类型,可以在提交应用进行验证时,针对您将使用哪些功能? 问题不选择任何选项。然后,Google API 的验证团队将确定应用类型。
安全评估
每个请求访问 Google 用户受限数据并且能够从第三方服务器访问数据或通过第三方服务器访问数据的应用,都必须接受 Google 选任的安全评估员进行的安全评估。此评估有助于确保 Google 用户数据的安全,方法是验证所有访问 Google 用户数据的应用都能够安全地处理数据,并且能够在用户提出请求时删除用户数据。
为了标准化我们的安全评估,我们使用了 App Defense Alliance 和 云应用安全评估框架 (CASA)。
如前所述,为了保留对任何已验证的受限范围的访问权限,应用必须在评估员的评估函 (LOA) 批准日期后的至少每 12 个月重新验证一次合规性并完成安全评估。 如果您的应用添加了新的受限范围,则可能需要重新评估您的应用,以涵盖之前安全评估中未包含的其他范围。
Google 审核团队会在需要重新认证应用时通过电子邮件通知您。为了确保您的团队中的相关成员收到此年度违规处置通知,请将其他 Google 账号以所有者或编辑者的身份与您的 Cloud Console 项目相关联。这也有助于及时更新 Google Cloud 控制台 OAuth 品牌页面中指定的用户支持和开发者联系电子邮件地址。
准备验证的步骤
所有使用 Google API 请求访问数据的应用都必须执行以下步骤才能 完成品牌验证:
- 确认您的应用不属于“验证要求的例外情况”部分中的任何用例。
- 确保您的应用符合关联 API 或 产品。例如,请参阅 品牌推广指南 ,了解 Google 登录范围。
- 在 Google Search Console中验证项目 授权网域的所有权。使用与 API 控制台项目相关联的 Google 账号作为 所有者或编辑者。
- 确保 OAuth 权限请求页面上的所有品牌信息(例如应用名称、支持 电子邮件地址、首页 URI、隐私权政策 URI 等)准确地代表了应用的身份。
应用首页要求
确保您的首页满足以下要求:
- 您的首页必须可公开访问,而不仅仅是您的网站的已登录 用户可以访问。
- 您的首页与正在审核的应用的相关性必须明确。
- 指向 Google Play 商店中应用商品详情或 Facebook 页面的链接不被视为 有效的应用首页。
应用隐私权政策链接要求
确保应用的隐私权政策满足以下要求:
- 隐私权政策必须对用户可见,托管在与应用首页相同的网域中,并且在 Google API 控制台的 OAuth 权限请求页面上提供指向该政策的链接。请注意,首页必须包含应用功能的说明,以及指向隐私权政策和可选服务条款的链接。
- 隐私权政策必须披露您的应用访问、使用、 存储或分享 Google 用户数据的方式。 The privacy policy must comply with the Google API Services User Data Policy and the Limited Use requirements for restricted scopes. 您必须将 Google 用户数据的使用限制在已发布的 隐私权政策中披露的做法范围内。
- Review example cases of privacy policies that don't meet the Limited Use requirements.
如何提交应用以进行品牌验证
一个 Google Cloud 控制台项目 用于组织您的所有 Cloud 控制台资源。项目包含一组有权执行项目操作的关联 Google 账号、一组已启用的 API,以及 这些 API 的结算、身份验证和监控设置。例如,一个项目可以 包含一个或多个 OAuth 客户端,为这些客户端配置要使用的 API,并配置在用户授权访问您的应用之前向其显示的 OAuth 权限请求页面。
如果您的任何 OAuth 客户端尚未准备好投入生产,我们建议您从 请求验证的项目中删除这些客户端。您可以在 “客户端”页面中执行此操作。
如需提交以进行验证,请按以下步骤操作:
- 确保您的应用符合《Google API 服务条款》和 《Google API 服务用户数据政策》。
- 在 Cloud Console 中,及时更新项目关联账号的所有者和编辑者角色,以及您的 OAuth 权限请求页面的用户支持电子邮件地址和开发者联系信息,在您的 Cloud Console 中。这样可确保您的团队中的相关成员收到任何新要求的通知。
- 前往 Cloud Console OAuth 品牌页面。
- 点击项目选择器 按钮。
-
在随即显示的从以下列表中选择 对话框中,选择您的项目。如果您找不到自己的 项目,但知道项目 ID,则可以在浏览器中按以下 格式构建网址:
https://console.developers.google.com/auth/branding?project=[PROJECT_ID]
将 [PROJECT_ID] 替换为您要使用的项目 ID。
- 在品牌页面中,提供应用的品牌信息, 包括应用名称、徽标、开发者联系信息和相关 链接。您所做的任何更改都会保存为品牌草稿 。
- 点击验证品牌 按钮,开始评估 流程。自动审核通常会在几分钟内完成。
- 评估完成后,查看状态。如果成功,状态将变为准备发布。如果自动验证 失败,您可以查看检测到的问题,然后修复这些问题或申请 人工审核。
- 点击发布品牌 按钮,使新品牌 生效。
-
如果您的应用还需要针对敏感范围或受限范围进行验证,请前往 OAuth 验证中心,跟踪 数据访问权限状态 ,并提供任何其他所需信息,例如演示视频。请注意,您必须先将品牌状态设为“已发布”,然后才能 申请数据访问权限验证。
- 使用添加或移除范围 按钮声明应用请求的所有范围。
非敏感范围 部分预先填充了 Google 登录所需的初始范围集。添加的范围被归类为非敏感范围,
<a href="/identity/protocols/oauth2/production-readiness/sensitive-scope-verification"
sensitive, or restricted。
- 最多可以提供三个指向应用中相关功能的相关文档的链接。
-
在后续步骤中提供有关应用的任何其他所需信息。
- Ensure your app complies with the Additional requirements for specific API scopes, which includes undergoing an annual security assessment if your app accesses restricted scope Google users' data from or through a third-party server.
- Ensure your app is one of the allowed types specified in the Limited Use section of the Additional requirements for specific API scopes page.
- If your app is a task automation platform, your demonstration video must showcase how multiple API workflows are created and automated, and in which directions user data flows.
-
Prepare a video that fully demonstrates how a user initiates and grants access to the requested scopes and shows, in detail, the usage of the granted sensitive and restricted scopes in the app. Upload the video to YouTube Studio and set Visibility as Unlisted. You need to provide a link to the demonstration video in the YouTube link field.
- Show the OAuth grant process that users will experience, in English. This includes the consent flow and, if you use Google Sign-In, the sign-in flow.
- Show that the OAuth consent screen correctly displays the App Name.
- Show that the browser address bar of the OAuth consent screen correctly includes your app's OAuth client ID.
- To show how the data will be used, demonstrate the functionality that's enabled by each sensitive and restricted scope that you request.
- If you use multiple clients, and therefore have multiple OAuth client IDs, show how the data is accessed on each OAuth client.
- Select your permitted application type from the "What features will you use?" list.
- Describe how you will use the restricted scopes in your app and why more limited scopes aren't sufficient.
发布品牌或提交数据访问权限请求后,Google 的 信任与安全团队可能会通过电子邮件跟进,询问他们需要的任何其他 信息或您必须完成的步骤。请查看 开发者联系信息 部分中的电子邮件地址以及 OAuth 权限请求页面的支持电子邮件地址,了解是否有其他 信息请求。您还可以查看项目的“品牌”或“验证 中心”页面,确认项目的当前审核状态,包括 我们是否在等待您的回复而暂停审核流程。
验证要求的例外情况
如果您的应用将用于以下部分中所述的任何场景,则无需提交以进行审核。
个人使用
一种用例是,您是应用的唯一用户,或者您的应用仅供少数用户使用, 而您认识所有这些用户。您和您的少数用户可能可以顺利通过 “应用未经验证” 屏幕,并授予您的个人账号访问应用的权限。
在开发、测试或预演 层级中使用的项目
为了 遵守 Google OAuth 2.0 政策,我们建议您为 测试环境和生产环境使用不同的项目。我们建议您仅在希望向任何拥有 Google 账号的用户提供应用时,才提交应用以进行验证 。因此,如果您的应用 处于开发、测试或预演阶段,则无需验证。
如果您的应用处于开发或测试阶段,您可以将 发布状态 保留为默认设置 正在测试。此设置表示您的应用仍在开发中,并且仅 供添加到测试用户列表中的用户使用。您必须管理参与应用开发或测试的 Google 账号列表 。
仅限服务拥有的数据
如果您的应用使用服务账号仅访问自己的数据,并且不访问任何用户 数据(与 Google 账号相关联),则无需提交以进行验证。
如需了解服务账号是什么,请参阅 Google Cloud 文档中的 服务账号。如需了解如何使用服务账号,请参阅 为“服务器到服务器”应用使用 OAuth 2.0 。
仅限内部使用
这意味着应用仅供 Google Workspace 或 Cloud Identity 组织中的人员使用。项目必须归组织所有,并且其 OAuth 权限请求页面 需要配置为 内部 用户 类型。在这种情况下,您的应用可能需要组织管理员的批准。如需了解详情,请参阅 Google Workspace 的其他注意事项。
- 详细了解 公开应用和 内部应用。
- 在常见问题解答 如何将应用标记为 仅限内部使用?中了解如何将应用标记为内部应用。
全网域安装
如果您计划让应用仅面向 Google Workspace 或 Cloud Identity 组织的用户,并且始终使用 全网域 安装,则您的应用不需要品牌验证。不过,如果您的应用使用 受限范围或敏感范围, 则需要进行应用验证。这是因为全网域安装允许网域 管理员向第三方和内部应用授予访问用户数据的权限。只有组织 管理员账号才能将应用添加到允许列表,以便在其 网域内使用。
在常见问题解答 我的应用的用户拥有来自 其他 Google Workspace 网域的企业账号中了解如何将应用设为全网域安装。